Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ("DDO"), 27 Ekim 2021'de Bilgi ve İletişim Güvenliği Denetim Rehberini ("Denetim Rehberi") yayımladı. Denetim Rehberi, kamu kurumları ve kritik altyapı hizmeti veren işletmelerin, kritik türdeki verilerin güvenliğinin sağlanması amacı ile gerçekleştirmeleri gereken denetim süreçlerini düzenlemektedir.

Yeni gelişme

DDO'nun Bilgi ve İletişim Güvenliği Rehberi kapsamında yayımlanan Denetim Rehberi kamu kurumları ile enerji, elektronik haberleşme, sağlık ve finans gibi kritik altyapı sektörlerinde hizmeti veren işletmelerin gerçekleştirmeleri gereken denetim faaliyetlerine ilişkin metodoloji açıklanmaktadır. Rehber'e  buradan  ulaşabilirsiniz. 

Denetim Rehberi neleri düzenliyor?

Bilgi ve İletişim Güvenliği Rehberi kapsamındaki kurumlar ilgili rehberde açıklanan tedbirlere uyum çalışmalarını 24 aylık bir süre içerisinde tamamlamış olmalıdır. Bu süreyi takiben kurumlar denetim çalışmalarına başlamalıdır.

Denetim Rehberi kapsamında, kurumların ve kritik altyapı hizmeti veren işletmecilerin denetim çalışmalarında izleyecekleri süreç açıklanmaktadır. Kurumların esas olarak denetim faaliyetlerini iç denetim birimleri aracılığıyla gerçekleştirmeleri gerekmektedir. İç denetim birimleri bulunmadığı ya da yeterli olmadığı takdirde faaliyetler kurum içi diğer personel, diğer kamu kurum ve kuruluşlarından görevlendirilecek personel veya hizmet alımı yolu ile gerçekleştirilebilecektir. Bu kapsamda ayrıca denetimi gerçekleştirecek personel ve firmalara ilişkin kriterlerin belirlendiği bir rehber de yayımlanmıştır. İlgili rehbere  buradan ulaşabilirsiniz.

Denetim Rehberi, dışarıdan denetim hizmeti alımlarında Rehber kapsamındaki kurumlar ile denetçilerin yükümlülüklerine de yer vermektedir. Bu doğrultuda; kurumların, denetim hizmetini, Belgelendirme Programı kapsamında yetkilendirilmiş firmalardan alması; kendilerine Bilgi ve İletişim Güvenliği Rehberine uyum faaliyetleri konusunda danışmanlık hizmeti vermiş olan firma ve denetçilerden almaması gibi yükümlülükleri bulunmaktadır.

Denetim Rehberi uyarınca denetimlerin amacı Bilgi ve İletişim Güvenliği rehberinin uygulanmasının ve varlık gruplarına uygulanan tedbirlerin etkinliğinin ölçülmesidir. Denetim temel olarak 3 adımdan oluşmaktadır:

(i) denetimin planlanması,
(ii) denetim prosedürlerinin uygulanması ve
(iii) denetim sonuçlarının raporlanması.

Denetimin planlanması kapsamında denetim ekibi belirlenmeli, denetimin kapsamı belirlenmeli ve denetim stratejisi ile programı hazırlanmalıdır. Denetim ekibi en az 2 kişiden oluşmalı ve personeller gerekli sertifika ya da yetkilendirmelere sahip olmalıdır. Denetim ekibi kurumu anlamak adına kurum organizasyon yapısını, kurum iş süreçlerini, önceki dönem denetim raporlarını, kurum varlık gruplarını vb. incelemelidir. Denetimin hangi varlık gruplarını kapsayacağı belirlenmelidir. Bu amaçla denetim ekibi risk odaklı denetim yaklaşımı ile hareket ederek önemlilik kriterlerini esas almalıdır. Rehber uyarınca denetim ekibi uyum çalışmalarıyla tanımlanan varlık grubu ana başlıkları ile ilişkili en az bir varlık grubunu denetim kapsamına almalıdır. Bu adımlar sonrasında denetim amaçları doğrultusunda denetim stratejisi ile programı hazırlanmalıdır. Denetim prosedürlerinin uygulanmasında mülakat, gözden geçirme, güvenlik denetimi, sızma testi ve kaynak kod analizi gibi Rehber'de belirtilen farklı yöntemler kullanılabilecektir. Ancak bu yöntemlere ek yöntemler kullanılarak da denetimler gerçekleştirilebilecektir.

Denetim sonunda denetim raporu hazırlanması ve DDO'ya gönderilmesi gerekmektedir.

Sonuç

Denetim Rehberi, Bilgi ve İletişim Güvenliği Rehberi kapsamında olan kamu kurumları ve kritik altyapı hizmeti veren işletmelerin ilgili rehberin uygulanması ve varlık gruplarına uygulanan tedbirlerin etkinliğinin ölçülmesi amacıyla gerçekleştirecekleri denetimlerde yol gösterici olacaktır. Bu kapsamda ilgili kurumlar ve kritik altyapı hizmeti veren işletmeler, denetim süreçlerini Denetim Rehberi'ne uygun olarak yönetmesi, denetim raporlarını DDO'ya göndermesi ve konuya ilişkin olarak resmi kurumların duyuru ve yönlendirmelerini yakından takip etmelidir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.